綜述
MD5的全稱是Message-Digest Algorithm 5(信息-摘要算法)��,在90年代初由MIT Laboratory for Computer Science和RSA Data Security Inc的Ronald L. Rivest開發(fā)出來�����,經(jīng)MD2��、MD3和MD4發(fā)展而來����。它的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密匙前被"壓縮"成一種保密的格式(就是把一個任意長度的字節(jié)串變換成一定長的大整數(shù))。不管是MD2�����、MD4還是MD5���,它們都需要獲得一個隨機長度的信息并產生一個128位的信息摘要。雖然這些算法的結構或多或少有些相似��,但MD2的設計與MD4和MD5完全不同�����,那是因為MD2是為8位機器做過設計優(yōu)化的,而MD4和MD5卻是面向32位的電腦��。這三個算法的描述和C語言源代碼在Internet RFCs 1321中有詳細的描述(http://www.ietf.org/rfc/rfc1321.txt)�,這是一份最權威的文檔,由Ronald L. Rivest在1992年8月向IEFT提交��。
Rivest在1989年開發(fā)出MD2算法�����。在這個算法中���,首先對信息進行數(shù)據(jù)補位���,使信息的字節(jié)長度是16的倍數(shù)。然后�����,以一個16位的檢驗和追加到信息末尾��。并且根據(jù)這個新產生的信息計算出散列值���。后來�,Rogier和Chauvaud發(fā)現(xiàn)如果忽略了檢驗和將產生MD2沖突。MD2算法的加密后結果是唯一的--既沒有重復��。
為了加強算法的安全性���,Rivest在1990年又開發(fā)出MD4算法��。MD4算法同樣需要填補信息以確保信息的字節(jié)長度加上448后能被512整除(信息字節(jié)長度mod 512 = 448)����。然后���,一個以64位二進制表示的信息的最初長度被添加進來�����。信息被處理成512位Damg?rd/Merkle迭代結構的區(qū)塊����,而且每個區(qū)塊要通過三個不同步驟的處理��。Den Boer和Bosselaers以及其他人很快的發(fā)現(xiàn)了攻擊MD4版本中第一步和第三步的漏洞��。Dobbertin向大家演示了如何利用一部普通的個人電腦在幾分鐘內找到MD4完整版本中的沖突(這個沖突實際上是一種漏洞��,它將導致對不同的內容進行加密卻可能得到相同的加密后結果)�。毫無疑問,MD4就此被淘汰掉了��。
盡管MD4算法在安全上有個這么大的漏洞����,但它對在其后才被開發(fā)出來的好幾種信息安全加密算法的出現(xiàn)卻有著不可忽視的引導作用。除了MD5以外�,其中比較有名的還有SHA-1、RIPE-MD以及HAVAL等����。
一年以后,即1991年����,Rivest開發(fā)出技術上更為趨近成熟的MD5算法。它在MD4的基礎上增加了"安全-帶子"(Safety-Belts)的概念����。雖然MD5比MD4稍微慢一些,但卻更為安全�����。這個算法很明顯的由四個和MD4設計有少許不同的步驟組成。在MD5算法中��,信息-摘要的大小和填充的必要條件與MD4完全相同���。Den Boer和Bosselaers曾發(fā)現(xiàn)MD5算法中的假沖突(Pseudo-Collisions)��,但除此之外就沒有其他被發(fā)現(xiàn)的加密后結果了�。
Van Oorschot和Wiener曾經(jīng)考慮過一個在散列中暴力搜尋沖突的函數(shù)(Brute-Force Hash Function)�,而且他們猜測一個被設計專門用來搜索MD5沖突的機器(這臺機器在1994年的制造成本大約是一百萬美元)可以平均每24天就找到一個沖突。但單從1991年到2001年這10年間�����,竟沒有出現(xiàn)替代MD5算法的MD6或被叫做其他什么名字的新算法這一點�����,我們就可以看出這個瑕疵并沒有太多的影響MD5的安全性����。上面所有這些都不足以成為MD5的在實際應用中的問題。并且�,由于MD5算法的使用不需要支付任何版權費用的���,所以在一般的情況下(非絕密應用領域�����。但即便是應用在絕密領域內�,MD5也不失為一種非常優(yōu)秀的中間技術),MD5怎么都應該算得上是非常安全的了��。
算法的應用
MD5的典型應用是對一段信息(Message)產生信息摘要(Message-Digest)����,以防止被篡改。比如�,在UNIX下有很多軟件在下載的時候都有一個文件名相同,文件擴展名為.md5的文件��,在這個文件中通常只有一行文本���,大致結構如:
MD5 (tanajiya.tar.gz) = 0ca175b9c0f726a831d895e269332461
這就是tanajiya.tar.gz文件的數(shù)字簽名���。MD5將整個文件當作一個大文本信息,通過其不可逆的字符串變換算法�����,產生了這個唯一的MD5信息摘要。如果在以后傳播這個文件的過程中�����,無論文件的內容發(fā)生了任何形式的改變(包括人為修改或者下載過程中線路不穩(wěn)定引起的傳輸錯誤等)����,只要你對這個文件重新計算MD5時就會發(fā)現(xiàn)信息摘要不相同,由此可以確定你得到的只是一個不正確的文件�����。如果再有一個第三方的認證機構���,用MD5還可以防止文件作者的"抵賴"���,這就是所謂的數(shù)字簽名應用。
MD5還廣泛用于加密和解密技術上����。比如在UNIX系統(tǒng)中用戶的密碼就是以MD5(或其它類似的算法)經(jīng)加密后存儲在文件系統(tǒng)中。當用戶登錄的時候�,系統(tǒng)把用戶輸入的密碼計算成MD5值��,然后再去和保存在文件系統(tǒng)中的MD5值進行比較����,進而確定輸入的密碼是否正確�����。通過這樣的步驟���,系統(tǒng)在并不知道用戶密碼的明碼的情況下就可以確定用戶登錄系統(tǒng)的合法性。這不但可以避免用戶的密碼被具有系統(tǒng)管理員權限的用戶知道�,而且還在一定程度上增加了密碼被破解的難度。
正是因為這個原因��,現(xiàn)在被黑客使用最多的一種破譯密碼的方法就是一種被稱為"跑字典"的方法��。有兩種方法得到字典��,一種是日常搜集的用做密碼的字符串表�����,另一種是用排列組合方法生成的����,先用MD5程序計算出這些字典項的MD5值���,然后再用目標的MD5值在這個字典中檢索。我們假設密碼的最大長度為8位字節(jié)(8 Bytes)�,同時密碼只能是字母和數(shù)字,共26+26+10=62個字符�,排列組合出的字典的項數(shù)則是P(62,1)+P(62,2)….+P(62,8),那也已經(jīng)是一個很天文的數(shù)字了�����,存儲這個字典就需要TB級的磁盤陣列��,而且這種方法還有一個前提���,就是能獲得目標賬戶的密碼MD5值的情況下才可以����。這種加密技術被廣泛的應用于UNIX系統(tǒng)中��,這也是為什么UNIX系統(tǒng)比一般操作系統(tǒng)更為堅固一個重要原因�。
算法描述
對MD5算法簡要的敘述可以為:MD5以512位分組來處理輸入的信息,且每一分組又被劃分為16個32位子分組�,經(jīng)過了一系列的處理后����,算法的輸出由四個32位分組組成��,將這四個32位分組級聯(lián)后將生成一個128位散列值����。
在MD5算法中����,首先需要對信息進行填充,使其字節(jié)長度對512求余的結果等于448����。因此,信息的字節(jié)長度(Bits Length)將被擴展至N*512+448��,即N*64+56個字節(jié)(Bytes)�,N為一個正整數(shù)。填充的方法如下��,在信息的后面填充一個1和無數(shù)個0����,直到滿足上面的條件時才停止用0對信息的填充�����。然后�,在在這個結果后面附加一個以64位二進制表示的填充前信息長度�����。經(jīng)過這兩步的處理���,現(xiàn)在的信息字節(jié)長度=N*512+448+64=(N+1)*512����,即長度恰好是512的整數(shù)倍�。這樣做的原因是為滿足后面處理中對信息長度的要求。
MD5中有四個32位被稱作鏈接變量(Chaining Variable)的整數(shù)參數(shù)�����,他們分別為:A=0x01234567�,B=0x89abcdef,C=0xfedcba98���,D=0x76543210�����。
當設置好這四個鏈接變量后��,就開始進入算法的四輪循環(huán)運算�����。循環(huán)的次數(shù)是信息中512位信息分組的數(shù)目��。
將上面四個鏈接變量復制到另外四個變量中:A到a����,B到b�����,C到c���,D到d����。
主循環(huán)有四輪(MD4只有三輪)�,每輪循環(huán)都很相似��。第一輪進行16次操作���。每次操作對a、b�����、c和d中的其中三個作一次非線性函數(shù)運算�����,然后將所得結果加上第四個變量��,文本的一個子分組和一個常數(shù)�。再將所得結果向右環(huán)移一個不定的數(shù),并加上a���、b�、c或d中之一�����。最后用該結果取代a、b�、c或d中之一。
以一下是每次操作中用到的四個非線性函數(shù)(每輪一個)��。
F(X,Y,Z) =(X&Y)|((~X)&Z)
G(X,Y,Z) =(X&Z)|(Y&(~Z))
H(X,Y,Z) =X^Y^Z
I(X,Y,Z)=Y^(X|(~Z))
?����。?是與�,|是或,~是非�,^是異或)
這四個函數(shù)的說明:如果X、Y和Z的對應位是獨立和均勻的���,那么結果的每一位也應是獨立和均勻的�����。
F是一個逐位運算的函數(shù)。即��,如果X�,那么Y,否則Z�����。函數(shù)H是逐位奇偶操作符。
假設Mj表示消息的第j個子分組(從0到15)�����,<<
FF(a,b,c,d,Mj,s,ti)表示a=b+((a+(F(b,c,d)+Mj+ti)<< GG(a,b,c,d,Mj,s,ti)表示a=b+((a+(G(b,c,d)+Mj+ti)<< HH(a,b,c,d,Mj,s,ti)表示a=b+((a+(H(b,c,d)+Mj+ti)<< II(a,b,c,d,Mj,s,ti)表示a=b+((a+(I(b,c,d)+Mj+ti)<<
這四輪(64步)是:
第一輪
FF(a,b,c,d,M0,7,0xd76aa478)
FF(d,a,b,c,M1,12,0xe8c7b756)
FF(c,d,a,b,M2,17,0x242070db)
桂公網(wǎng)安備45010502000253號
電子營業(yè)執(zhí)照